Number:IRCNE2014042159
Date: 2014-04-16

According to “zdnet”,BlackBerry plans to release a set of updates to plug the security holes left by the OpenSSL flaw Heartbleed.
Heartbleed is a security flaw which was discovered by researchers this month. The vulnerability is found in OpenSSL software used to keep data secure across a variety of services, including across messaging services, content sharing, online shopping and banking.
Through the flaw, hackers can theoretically communicate with a server, steal large amounts of data, and vanish without a trace.
A number of companies have issued patches to stem the problem, including Google, Facebook, YouTubeand Yahoo. According to Reuters, BlackBerry is now next on the list, with BlackBerry senior vice president Scott Totzke said the firm will need to update two popular BlackBerry products, Secure Work Space corporate email and BBM messaging program for Android and iOS.
Totzke says that the majority of BlackBerry services do not use OpenSSL and therefore are impervious to Heartbleed, but Secure Work Space and BBM messaging may be vulnerable if cybercriminals gain access to these apps through Wi-Fi or carrier networks.
Totzke says, believes it is safe to continue using these services until patches are released.

شماره: IRCNE2014042158
تاريخ:23 /01/93

نه تنها سرورها بلكه برنامه هاي كاربردي سمت كلاينت نيز به خصوص آن هايي كه بر روي اندرويد 4.1.x در حال اجرا هستند، نسبت به رخنه Heartbleed آسيب پذير مي باشند.
روز گذشته شركت گوگل تاييد كرد كه سيستم عامل اندرويد نسخه 4.1.1 Jelly Bean تحت تاثير اين رخنه قرار دارد و اين شركت اصلاحيه اي را براي برطرف شدن اين رخنه توزيع كرد.
مشخص نيست كه چه تعداد دستگاه اندرويد داراي نسخه 4.1.1 مي باشند اما با توجه به داشبورد توزيع اندرويد گوگل، 35 درصد از دستگاه هاي اندرويد داراي نسخه 4.1.x هستند به عبارت ديگر در حال حاضر بيش از يك سوم از دستگاه هاي اندرويد در حال اجراي نسخه 4.1.x مي باشند.
در حال حاضر مجرمان سايبري در حال سوء استفاده از رخنه Heartbleed مي باشند. اين رخنه بازتاب جهاني گسترده اي داشته است. مجرمان سايبري دريافتند كه اين رخنه بيشتر از آن كه يك مشكل جذاب باشد، يك موضوع جذاب براي جريانات رسانه اي است. بنابراين در آينده اي نزديك شاهد انتشار پيام هاي هرزنامه اي درباره رخنه Heartbleed خواهيم بود كه به عنوان مكانيزمي براي توزيع ساير كدهاي خرابكار و بدافزارها مورد استفاده قرار مي گيرد.

شماره: IRCNE2014042157
تاريخ:23 /01/93

كاربران iOS و OS X مي توانند نفس راحتي بكشند زيرا دستگاه هاي آن ها تحت تاثير رخنه امنيتي OpenSSL Heartbleed قرار ندارند اما اگر براي پيام هاي خصوصي بر روي iOSاز BBM استفاده مي كنند، بايد در حال حاضر استفاده از آن را متوقف نمايند.
شركت اپل اعلام كرد محصولات اين شركت تحت تاثير آسيب پذيري موجود در OpenSSL قرار ندارد. اين شركت از كتابخانه متفاوت SSL/TLS با نام SecureTransport استفاده مي كند كه در ماه فوريه تحت تاثير يك مشكل جدي قرار گرفت اما به خطرناكي رخنه Heartbleed نبود.
شركت بلك بري تاييد كرد كه چندين محصول آن از جمله BBM براي iOS و اندرويد تحت تاثير آُسيب پذيري Heartbleed قرار دارند. BBM در سراسر جهان حدود 80 ميليون كاربر دارد.
ساير محصولات آسيب پذير بلك بري شامل Secure Work Space براي iOS و اندرويد و BlackBerry Link براي ويندوز و سيستم عامل مكينتاش مي باشند.
در حال حاضر اين شركت اصلاحيه اي براي محصولات آسيب پذير خود منتشر نكرده است و بدتر از آن هيچ راه حلي براي مقابله با آسيب پذيري در BBM يا Secure Work Spaces اعلام نكرده است.
محصولات اصلي بلك بري مانند گوشي هاي هوشمند بلك بري، BlackBerry Enterprise Server 5 و BlackBerry Enterprise Service 10 تحت تاثير اين آسيب پذيري قرار ندارند.
آمازون تاييد كرده است كه نسبت به اين رخنه، آسيب پذير است و افرادي كه از ELB، EC2 ، OpsWorks، Elastic Beanstalk و CloudFront استفاده مي كنند، تحت تاثير تهديد ناشي از اين رخنه قرار مي گيرند.
روز پنج شنبه موزيلا اعلام كرد كه پروژه تاييد هويت اين شركت، Persona و Firefox Account تحت تاثير آسيب پذيري Heartbleed قرار دارد. سرورهاي آن ها در AWS اجرا مي شود در حالي كه ارتباطات رمزگذاري شده TLS به AWS ELB كه از OpenSSL استفاده مي كنند منتهي مي شود.

شماره: IRCNE2014042155
تاريخ:23 /01/93

برخي از محصولات سيسكو و Juniper تحت تاثير رخنه Heartbleed قرار دارند. شركت سيسكو در راهنمايي امنيتي كه روز چهارشنبه منتشر كرد فهرست طولاني از محصولات خود را منتشر كرد كه در برخي از آن ها آسيب پذيري تاييد شده بود و برخي ديگر از آن ها به منظور يافتن آسيب پذير بودن تحت بررسي مي باشند.در ميان 16 محصولي كه آسيب پذير بودن آن ها تاييد شده است محصولات Unified Communication Manager (UCM) 10.0، Cisco MS200X Ethernet Access Switch و چندين محصول Unified IP Phones قرار دارد. در راهنمايي امنيتي 1.2 فهرست 65 محصول قرار دارد كه تحت بررسي مي باشند.
دو محصول Cisco Registered Envelope Service (CRES) و Cisco Webex Messenger Service نيز نسبت به رخنه Heartbleed آسيب پذير بودند كه در حال حاضر اين محصولات اصلاح شده اند. در راهنمايي امنيتي شركت سيسكو آمده است كه تاكنون هيچ يك از خدمات ميزباني شده سيسكو كه مورد بررسي قرار گرفته اند، تحت تاثير اين آسيب پذيري قرار ندارند. عدم آسيب پذيري 62 محصول ديگر از جمله بسياري از مسيرياب ها و سيستم عامل IOSخود سيسكو تاييد شده است.
Juniper نيز اطلاعيه اي بسيار مهم در صفحه اول وب سايت امنيتي خود منتشر كرد. در اين اطلاعيه توضيحاتي در خصوص رخنه Heartbleed آورده است اما اطلاعاتي را در خصوص آسيب پذير بودن محصولات خود ذكر نكرده است.
سخنگوي Juniper اعلام كرد كه زيرمجموعه اي از محصولات Juniper از جمله نسخه هاي خاص از نرم افزار SSL VPN آن تحت تاثير آسيب پذيري Heartbleed قرار دارند. اين شركت روز پنج شنبه يك به روز رساني براي محصول SSl VPN منتشر كرده است و براي ديگر محصولات آسيب پذير خود نيز اصلاحيه اي منتشر خواهد كرد. ما به مشتريان خود توصيه مي كنيم تا براي گرفتن اطلاعات بيشتر و به روز رساني محصولات با واحد پشتيباني مشتريان Juniper تماس بگيرند.

شماره: IRCNE2014042156
تاريخ:23 /01/93

روز پنج شنبه شركت امنيتي ترند ميكرو در پستي در وبلاگ خود اعلام كرد كه برنامه هاي كاربردي تلفن همراه اندرويد و IOS تحت تاثير آسيب پذيري Heartbleed قرار دارند.
اين شركت اعلام كرد كه به دليل وجود تهديدات امنيتي، مشتريان بايد تا زمان برطرف شدن كامل اين آسيب پذيري از خريد برنامه هاي كاربردي از طريق دستگاه هاي تلفن همراه خود اجتناب كنند.
با توجه به يافته هاي شركت ترند ميكرو، بررسي حدود 390000 برنامه كاربردي Google Play نشان داد كه حدود 1300 برنامه به سرورهاي آسيب پذير به رخنه Heartbleed متصل مي شوند. در ميان اين برنامه ها، بيش از 12 برنامه بانكداري آنلاين، 40 برنامه پرداخت آنلاين و 10 برنامه خريد آنلاين نيز قرار دارد. هم چنين چندين برنامه كاربردي محبوب نيز آسيب پذير مي باشند زيرا به سرورهاي آسيب پذير متصل مي باشند.
برنامه هاي كاربردي تلفن همراه نيز مانند وب سايت ها ممكن است نسبت به رخنه آسيب پذير باشند زيرا اين احتمال وجود دارد كه اين برنامه ها به سرورهاي آسيب پذير متصل شوند.
هم چنين اين شركت تعدادي برنامه كاربردي محبوب مانند برنامه پيام رساني فوري، برنامه مراقبت هاي بهداشتي، برنامه ورودي كيبورد و حتي برنامه هاي پرداخت تلفن همراه را معرفي كرد كه به طور روزانه توسط كاربران استفاده مي شوند و از اطلاعات مالي و شخصي حساس استفاده مي كنند.
JD Sherry، معاون شركت امنيتي ترند ميكرو اظهار داشت كه اين شركت بررسي هاي لازم را بر روي برنامه هاي كاربردي فروشگاه اپل انجام نداده است. اما شكي نيست كه برخي از اين برنامه ها نيز در معرض خطر قرار داشته باشند.
حتي برنامه هاي كاربردي كه از فروشگاه گوگل خريداري نشده اند اگر به صورت آنلاين به يك سرور متصل شوند، نيز ممكن است در معرض تهديد اين آسيب پذير قرار داشته باشند. به عنوان مثال، ممكن است برخي از برنامه ها از شما بخواهند تا آن ها را در يك شبكه اجتماعي ‘like’ كنيد يا براي دريافت پاداشت آن ها را “follow” كنيد در نتيجه كاربر براي انجام اين امور به يك سرور آسيب پذير متصل مي شود.

Number:IRCNE2014042158
Date: 2014-04-12

According to “zdnet”, client-side applications can be vulnerable too, not just servers — particularly those running on Android 4.1.x.
Google yesterday confirmed Android 4.1.1, Jelly Bean, was affected by the flaw and it was developing a patch and distributing it to Android partners.
It's not clear how many Android 4.1.1 devices exist but according to Google's Android distribution dashboard 4.1.x accounts for about 35 percent of all Android devices.More than one-third of operational Android devices are still running version 4.1.x, Williams said.
Unlike most Linux distributions, which the researchers praised for issuing OpenSSL patches promptly, they were scathing of Android for the availability of patches being "a little bit less than desired", as Williams put it.
Lyne warned that criminals are starting to take advantage of Heartbleed's high media profile.
"Through today, the cyber criminals really wised up to the fact that this was an interesting topic for the mainstream media, beyond being an interesting bug. So we've started seeing lots of spam messages about Heartbleed being used as a mechanism to distribute other malicious code and scams." he said.

Number:IRCNE2014042157
Date: 2014-04-12

According to “zdnet”, iOS and OS X users can breathe a sigh of relief with the knowledge that their devices are not affected by the catastrophic OpenSSL Heartbleed security flaw — but if they're using BBM for really private messages on iOS they might want to stop right now.
"Apple takes security very seriously. IOS and OS X never incorporated the vulnerable software and key web-based services were not affected," Apple told Re/code.
Apple uses different SSL/TLS libraries called SecureTransport, which was hit by its own very serious bug in February — though it wasn't quite as dangerous as Heartbleed.
BlackBerry has now confirmed that several of its products, including BBM for iOS and Android were affected by the Heartbleed. BBM has about 80 million users.
Other BlackBerry products affected include its rival to Samsung's Knox, Secure Work Space for iOS and Android, and BlackBerry Link for Windows and Mac OS.
BlackBerry doesn't have a patch for any of the products yet, but worse yet there are "no mitigations" for the vulnerability in BBM or Secure Work Spaces.
BlackBerry's core products including BlackBerry smartphones, BlackBerry Enterprise Server 5 and BlackBerry Enterprise Service 10 were not affected, it said.
However, cloud giant Amazon confirmed it was affected, which has had an impact on anyone that used ELB, EC2, OpsWorks, Elastic Beanstalk, and CloudFront.
Mozilla announced on Wednesday that its federated identity authentication project, Persona, and Firefox Account were affected by Heartbleed. Their servers ran in AWS while encrypted TLS connections terminated on AWS ELB using OpenSSL.

Number:IRCNE2014042156
Date: 2014-04-12

According to “computerworld”, Android and IOS mobile applications are just as vulnerable to the Heartbleed bug as websites are, security vendor Trend Micro warned in a blog post on Thursday.
Because of the threat, consumers should avoid making in-app purchases via their mobile devices until permanent fixes are available for Heartbleed, the company said.
According to Trend Micro, a scan of about 390,000 applications on Google Play uncovered about 1,300 apps that connect to servers vulnerable to Heartbleed.
Among those at risk are more than a dozen banking apps, about 40 payment apps and 10 online shopping apps.
The company said it also found several popular apps to be vulnerable. because they connect to servers likely compromised.
"We also found several popular apps that many users would use on a daily basis, like instant messaging apps, health care apps, keyboard input apps -- and most concerning, even mobile payment apps," Trend Micro said. "These apps use sensitive personal and financial information."
JD Sherry, vice president of technology and solutions at Trend Micro, said the company did not perform a similar scan of applications available via Apple Store. But there is no doubt many of them are also at risk, he said.
Even applications that do not support in-app purchases are at risk if the application connects to an online server that is vulnerable. "For example, your app could ask you to 'like' them on a social network, or 'follow' them on yet another for free rewards'' and eventually lead users to a vulnerable server.

Number:IRCNE2014042155
Date: 2014-04-12

According to “zdnet”, both Cisco and Juniper have disclosed that some of their products are affected by the Heartbleed bug.
Cisco issued an advisory on Wednesday stating that a long list of products were either confirmed vulnerable or under investigation for the vulnerability. Among the 16 products confirmed vulnerable (as of version 1.2 of the advisory) are the Cisco Unified Communication Manager (UCM) 10.0, Cisco MS200X Ethernet Access Switch and several Cisco Unified IP Phones. The 1.2 advisory lists 65 products as under investigation.
Two products, the Cisco Registered Envelope Service (CRES) and Cisco Webex Messenger Service, had been vulnerable and have been remediated. The advisory says that no Cisco hosted services are currently known to be affected. Another 62 products are confirmed not vulnerable, including many routers and Cisco IOS itself.
Juniper has published a "High Alert" notice on their security home page. The High Alert merely gives a brief description of Heartbleed without any mention of which products may be affected.
A Juniper spokesperson provided this statement:a subset of Juniper’s products were affected by the Heartbleed vulnerability including certain versions of our SSL VPN software, which presents the most critical concern for customers. We issued a patch for our SSL VPN product on Tuesday and are working around the clock to provide patched versions of code for our other affected products.
We encourage our customers to contact Juniper’s Customer Support Center for detailed advisories and product updates. We work with customers running vulnerable products very closely to ensure they take the appropriate steps we have identified and deploy any necessary updates or mitigations in a timely manner.

در تاريخ 7 آوريل 2014 يك آسيب پذيري خطرناك در بسته نرم افزاري OpenSSL شناسايي شد. OpenSSL يك مجموعه ابزار و كتابخانه از توابع رمزنگاري است كه مورد استفاده غالب محصولات متن باز به ويژه سيستم عامل هاي خانواده لينوكس مي باشد. اين آسيب پذيري كه توسط شركت امنيتي codenomicon شناسايي و تحت عنوان Heartbleed‌ نامگذاري شده است.

توضيحات
اين آسيب پذيري كه در نسخه هاي متعددي از OpenSSL وجود دارد به مهاجمين اين امكان را مي دهد كه به قسمت هايي از حافظه سيستم دست يابند و از اين طريق به اطلاعات حساسي نظير كليد هاي خصوصي و رمز عبور و ... دست پيدا كنند.
نكته حايز اهميت آن است كه نرم افزار هاي متعددي كه وابسته به OpenSSL هستند از جمله سرويس هايي نظير imap،smtp،http و pop3 مي توانند در خطر باشند.

نسخه هاي آسيب پذير
تمامي اين نسخه ها از نرم افزار OpenSSL آسيب پذير هستند:
1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1 و همچنين 1.0.2-beta1

راه‌حل
اين آسيب پذيري در نسخه 1.0.1g رفع شده است.

شناسايي سيستم هاي آسيب پذير
چنانچه شما از نرم افزارهاي متن باز به ويژه سيستم عامل لينوكس و انواع سرويس دهنده هاي ايميل و وب سرور هاي تحت لينوكس استفاده مي نماييد، مي توانيد به سادگي با بررسي نسخه بسته OpenSSL از آسيب پذير بودن آن اطلاع حاصل كنيد. براي اين منظور كافي است در كنسول لينوكس دستور زير را وارد كنيد:

openssl version

چنانچه نسخه نمايش داده شده يكي از نسخه هاي ذكر شده فوق بود شما نياز به بروز رساني بسته OpenSSL داريد.

راهكارهاي مقابله
اين آسيب پذيري اخيراً و پيش از اعلان عمومي به برخي از توليد كنندگان مرتبط اطلاع داده شده است در نتيجه بسته هاي بروز رساني حاوي نسخه اصلاح شده OpenSSL در دسترس است. براي بروز رساني مي توانيد از ابزار مديريت بسته هاي سيستم عامل خود استفاده كنيد. براي نمونه در برخي از سيستم هاي لينوكس مي توانيد از اين دستورات استفاده كنيد:

Debian

apt-get update
apt-get upgrade

Ubuntu

apt-get update
apt-get upgrade

Fedora and CentOS

yum update

همچنين پس از بروز رساني حتما سرويس هايي كه از OpenSSL استفاده مي كنند را مجدداً راه اندازي كنيد.

منابع:

[1] http://www.kb.cert.org/vuls/id/720951
[2] http://www.openssl.org/news/vulnerabilities.html
[3] https://www.openssl.org/news/secadv_20140407.txt
[4] http://heartbleed.com/

اطلاعات ديگر

CVE IDs: CVE-2014-0160
تاريخ عمومي شدن:7 آوريل 2014 (18 فروردين 92)
تاريخ اولين انتشار: 7 آوريل 2014 (18 فروردين 92)
تاريخ اولين بروزرساني: 9 آوريل 2014 (20 فروردين 92)